La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come scambiare certificati autofirmati tra il server di amministrazione principale (ADS/AW) e altri server applicazioni nella soluzione Cisco Packaged Contact Center Enterprise (PCCE).
Contributo di Anuj Bhatia, Robert Rogier e Ramiro Amaya, Cisco TAC Engineers.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni di questo documento si basano sulle seguenti versioni software:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nella soluzione PCCE a partire dalla versione 12.x, tutti i dispositivi sono controllati tramite Single Pane of Glass (SPOG) che è ospitato nel server AW principale. A causa della conformità alla gestione della sicurezza (SRC) nella versione PCCE 12.5(1), tutte le comunicazioni tra SPOG e gli altri server della soluzione avvengono esclusivamente tramite il protocollo HTTP protetto.
I certificati vengono utilizzati per garantire una comunicazione sicura e senza problemi tra SPOG e gli altri dispositivi. In un ambiente con certificati autofirmati, lo scambio di certificati tra i server diventa un must. Questo scambio di certificati è inoltre necessario per abilitare le nuove funzionalità presenti nella versione 12.5(1), ad esempio Smart Licensing, Webex Experience Management (WXM) e Customer Virtual Assistant (CVA).
Si tratta dei componenti da cui vengono esportati i certificati autofirmati e dei componenti in cui è necessario importare i certificati autofirmati.
i) server AW principale: Il server richiede il certificato da:
Lo stesso vale per altri server ADS nella soluzione.
(ii) Router \ Server di registrazione: Il server richiede il certificato da:
iii) Server PG CUCM: Il server richiede il certificato da:
iv) Server CVP: Il server richiede il certificato di
v) server di reporting CVP: Il server richiede il certificato da:
vi) Server VVB: Il server richiede il certificato da:
I passaggi necessari per lo scambio efficace dei certificati autofirmati nella soluzione sono suddivisi in tre sezioni.
Sezione 1: Scambio di certificati tra server CVP e server ADS.
Sezione 2: Scambio di certificati tra applicazioni della piattaforma VOS e server ADS.
Sezione 3: Scambio di certificati tra logger, PG e server ADS.
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare i certificati WSM del server CVP.
Passaggio 2. Importare il certificato WSM del server CVP nel server ADS.
Passaggio 3. Esportare il certificato del server ADS.
Passaggio 4. Importare il server ADS nei server CVP e nel server di report CVP.
Prima di esportare i certificati dai server CVP, è necessario rigenerare i certificati con il nome di dominio completo (FQDN) del server. In caso contrario, alcune funzionalità, quali Smart Licensing, CVA e la sincronizzazione CVP con SPOG, potrebbero presentare problemi.
Attenzione: Prima di iniziare, eseguire le operazioni seguenti:
Nota: È possibile semplificare i comandi utilizzati in questo documento utilizzando il parametro -storepass. Per tutti i server CVP, viene incollata la password ottenuta dal file security.properties specificato. Per i server ADS digitare la password: modificare
Per rigenerare il certificato nei server CVP, eseguire la procedura seguente:
(i) Elenca i certificati nel server
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -list
Nota: I server CVP dispongono dei seguenti certificati autofirmati: wsm_certificate , vxml_certificate , callserver_certificate. Se si utilizza il parametro -v dello strumento chiave, è possibile visualizzare informazioni più dettagliate su ogni certificato. È inoltre possibile aggiungere il simbolo ">" alla fine del comando keytool.exe list per inviare l'output a un file di testo, ad esempio: > test.txt
(ii) Eliminare i vecchi certificati autofirmati
Server CVP: comando per eliminare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias vxml_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Server di report CVP: comando per eliminare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias wsm_certificate %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -delete -alias callserver_certificate
Nota: I server di report CVP dispongono di questi certificati autofirmati wsm_certificate, callserver_certificate.
(iii) Generare i nuovi certificati autofirmati con il nome FQDN del server
Server CVP
Comando per generare il certificato autofirmato per WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Specificare il nome di dominio completo (FQDN) del server, alla domanda qual è il nome e il cognome?
Rispondere alle seguenti domande:
Qual è il nome dell'unità organizzativa?
[Sconosciuto]: <specifica unità organizzativa>
Qual è il nome dell'organizzazione?
[Sconosciuto]: <specificare il nome dell'organizzazione>
Indicare il nome della città o località.
[Sconosciuto]: <specificare il nome della città/località>
Qual è il nome della provincia?
[Sconosciuto]: <specificare il nome della provincia>
Qual è il codice paese di due lettere per questo apparecchio?
[Sconosciuto]: <specificare il codice del paese a due lettere>
Specificare yes per i due input successivi.
Eseguire la stessa procedura per vxml_certificate e callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias vxml_certificate -keysize 2048 -keyalg RSA -validity XXXX %CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Riavviare il server di chiamata CVP.
Server di reporting CVP
Comando per generare i certificati autofirmati per WSM:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias wsm_certificate -keysize 2048 -keyalg RSA -validity XXXX
Specificare il nome di dominio completo (FQDN) del server per la query che cos'è il nome e il cognome? e seguire la stessa procedura utilizzata per i server CVP.
Eseguire la stessa procedura per callserver_certificate:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -genkeypair -alias callserver_certificate -keysize 2048 -keyalg RSA -validity XXXX
Riavviare i server di report.
Nota: Per impostazione predefinita, i certificati autofirmati vengono generati per due anni. Utilizzare -valid XXXX per impostare la data di scadenza per la rigenerazione dei certificati. In caso contrario, i certificati saranno validi per 90 giorni. Per la maggior parte di questi certificati, 3-5 anni devono essere un periodo di convalida ragionevole.
Di seguito sono riportati alcuni input di validità standard:
Un anno |
365 |
Due anni |
730 |
Tre anni |
1095 |
Quattro anni |
1460 |
Cinque anni |
1895 |
Dieci anni |
3650 |
Attenzione: In 12.5 i certificati devono essere SHA 256, Key Size 2048 e encryption Algorithm RSA, utilizzare questi parametri per impostare i seguenti valori: -keyalg RSA e -keysize 2048. È importante che i comandi del keystore CVP includano il parametro -storetype JCEKS. In caso contrario, il certificato, la chiave o, peggio, il keystore potrebbe danneggiarsi.
(iv) Esportare wsm_Certificate da CVP e server di report
a) Esportare il certificato WSM da ciascun server CVP in una posizione temporanea e rinominare il certificato con il nome desiderato. È possibile rinominarlo come wsmcsX.crt. Sostituire "X" con un numero o una lettera univoci. ovvero wsmcsa.crt, wsmcsb.crt.
Comando per esportare i certificati autofirmati:
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -export -alias wsm_certificate -file %CVP_HOME%\conf\security\wsm.crt
b) Copiare il certificato dal percorso C:\Cisco\CVP\conf\security\wsm.crt, rinominarlo in wsmcsX.crt e spostarlo in una cartella temporanea sul server ADS.
Per importare il certificato nel server ADS è necessario utilizzare lo strumento chiave che fa parte del set di strumenti java. Esistono due modi per trovare il percorso della directory principale Java in cui è ospitato questo strumento.
(i) Comando CLI > echo %JAVA_HOME%
(ii) Manualmente tramite Impostazioni di sistema avanzate, come mostrato nell'immagine.
In PCCE 12.5 il percorso predefinito è C:\Program Files (x86)\Java\jre1.8.0_221\bin
Comando per importare i certificati autofirmati:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_cvp} -file c:\temp\certs\wsmcsX.crt
Nota: Ripetere i comandi per ogni CVP nella distribuzione ed eseguire la stessa operazione su altri server ADS
d) Riavviare il servizio Apache Tomcat sui server ADS.
Per il server di report CVP è necessario esportare il certificato ADS e importarlo nel server di report. Di seguito sono riportati i passaggi:
(i) Nel server ADS da un browser, passare all'URL del server: https://{servername}
ii) Salvare il certificato in una cartella temporanea, ad esempio: c:\temp\certs e denominare il certificato ADS{svr}[ab].cer
Nota: Selezionare l'opzione Codificato Base 64 X.509 (.CER).
(i) Copiare il certificato sui server CVP e sul server CVP Reporting nella directory C:\Cisco\CVP\conf\security.
(ii) Importare il certificato nei server CVP e nel server di report CVP.
%CVP_HOME%\jre\bin\keytool.exe -storetype JCEKS -keystore %CVP_HOME%\conf\security\.keystore -import -trustcacerts -alias {fqdn_of_ads} -file %CVP_HOME%\conf\security\ICM{svr}[ab].cer
Eseguire la stessa procedura per altri server ADS.
(iii) Riavviare i server CVP e il server di report
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1. Esportare i certificati del server applicazioni della piattaforma VOS.
Passaggio 2. Importare i certificati dell'applicazione piattaforma VOS nel server ADS.
Questo processo è applicabile a tutte le applicazioni VOS, quali:
(i) Passare alla pagina di amministrazione del sistema operativo Cisco Unified Communications: https://FQDN:8443/cmplatform
(ii) Passare a Protezione > Gestione certificati e individuare i certificati del server principale dell'applicazione nella cartella tomcat-trust.
(iii) Selezionare il certificato e fare clic su Scarica file .PEM per salvarlo in una cartella temporanea sul server ADS.
Nota: Eseguire gli stessi passaggi per il sottoscrittore.
Percorso per eseguire lo strumento Chiave: C:\Program Files (x86)\Java\jre1.8.0_221\bin
Comando per importare i certificati autofirmati:
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_vos} -file c:\temp\certs\vosapplicationX.cer
Riavviare il servizio Apache Tomcat sui server ADS.
Nota: Esegui la stessa attività su altri server ADS
Per completare correttamente questo scambio, è necessario eseguire le seguenti operazioni:
Passaggio 1: Esporta certificato IIS da server Rogger e PG
Passaggio 2: Esporta certificato DFP (Diagnostic Framework Portico) da server Rogger e PG
Passaggio 3: Importa certificati in server ADS
(i) Su un server ADS da un browser, passare ai server (Roggers , PG) URL: https://{servername}
(ii)Salvare il certificato in una cartella temporanea, ad esempio c:\temp\certs e denominare il certificato ICM{svr}[ab].cer
Nota: Selezionare l'opzione Codificato Base 64 X.509 (.CER).
(i) Su un server ADS da un browser, passare ai server (Roggers, PG) URL DFP: https://{servername}:7890/icm-dp/rest/DiagnosticPortal/GetProductVersion
(ii) Salvare il certificato nella cartella example c:\temp\certs e denominare il certificato dfp{svr}[ab].cer
Nota: Selezionare l'opzione Codificato Base 64 X.509 (.CER).
Comando per importare i certificati autofirmati di IIS nel server ADS. Percorso per l'esecuzione dello strumento Chiave: C:\Program Files (x86)\Java\jre1.8.0_221\bin.
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_IIS -file c:\temp\certs\ ICM{svr}[ab].cer
Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_IIS -file c:\temp\certs\ICMrgra.cer
Nota: Importa tutti i certificati server esportati in tutti i server ADS.
Comando per importare i certificati autofirmati di diagnostica nel server ADS
keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias {fqdn_of_server}_DFP -file c:\temp\certs\ dfp{svr}[ab].cer Example: keytool -keystore "C:\Program Files (x86)\Java\jre1.8.0_221\lib\security\cacerts" -import -storepass changeit -alias myrgra.domain.com_DFP -file c:\temp\certs\dfprgra.cer
Nota: Importa tutti i certificati server esportati in tutti i server ADS.
Riavviare il servizio Apache Tomcat sui server ADS.
Per informazioni dettagliate su come stabilire una comunicazione protetta per gli elementi Web Services Element e Rest_Client
fare riferimento alla Guida per l'utente di Cisco Unified CVP VXML Server e Cisco Unified Call Studio versione 12.5(1) - Integrazione dei servizi Web [Cisco Unified Customer Voice Portal] - Cisco
Revisione | Data di pubblicazione | Commenti |
---|---|---|
2.0 |
14-Jul-2022 |
Release 1.0 |
1.0 |
01-Apr-2020 |
Versione iniziale |